Resumen
jaggroup.com fue afectada por un ataque de ransomware relacionado con el grupo stormous, según una alerta publicada en junio de 2026. El incidente reveló una base de datos completa que incluye correos electrónicos corporativos, credenciales de Active Directory, contraseñas en texto plano, y archivos sensibles como bases de datos de Microsoft Dynamics GP, licencias de software, informes financieros, y configuraciones de sistemas. Además, se encontraron múltiples archivos comprimidos (como zBackups.zip) y una base de datos local (IM.mdb). La exposición de estos datos sugiere un alto impacto en la seguridad de la organización.
Detalles de la Alerta
La alerta indica que se encontró un data dump completo para el dominio jaggroup.com, que incluyó:
- Correos electrónicos corporativos (@jaggroup.com).
- Credenciales de Active Directory y contraseñas en texto plano.
- Bases de datos de Microsoft Dynamics GP, licencias de software y reportes financieros.
- Archivos comprimidos como zBackups.zip, wetransfer, y Jag Project.xlsx.
- Configuraciones de sistemas, listas de usuarios, registros de compras y ventas.
El Grupo Detras del Ataque
Según los datos compartidos, el ataque fue atribuido al grupo stormous, un actor cibernético no identificado con sectores, países o motivaciones específicos. No se han proporcionado detalles sobre su historial o objetivos, pero la exposición de información sensible sugiere una actividad maliciosa con fines de extorsión o espionaje.
Datos Expuestos
Los datos expuestas incluyen:
- Cuentas corporativas: correos electrónicos (@jaggroup.com).
- Credenciales de sistemas: logins de Active Directory y contraseñas en texto plano.
- Bases de datos sensibles: Microsoft Dynamics GP, licencias de software, informes financieros, y configuraciones técnicas.
- Archivos críticos: Jag Project.xlsx, IM.mdb, y archivos comprimidos como zBackups.zip.
- Documentación interna: listas de usuarios, registros de compra/venta, y planes de proyectos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| Dominio | jaggroup.com | Víctima afectada. |
| Dominio | passwords.complete | Refleja la exposición de contraseñas en texto plano. |
| Dominio | zbackups.zip | Nombre de un archivo comprimido asociado a la exposición. |
| Dominio | im.mdb | Base de datos local expuesta. |
Dominio
| files.internal |
Refleja la exposición de archivos internos. |
|
| Dominio | project.xlsx | Archivo de planificación interna expuesto. |
| Archivo | zBackups.zip | Comprimido asociado a la exposición de datos. |
| Hash | d4cd0dabcf4caa22ad92fab40844c786 | Código asociado a un desafío de DuckDuckGo. |
| Dominio | duckduckgo.com | Plataforma utilizada para validar la búsqueda manual. |
Recomendaciones
Las organizaciones deben:
- Monitorear sus sistemas y verificar si existen accesos no autorizados.
- Actualizar sus protocolos de seguridad, especialmente en sistemas críticos como Microsoft Dynamics GP.
- Revisar registros de phishing o actividades sospechosas relacionadas con dominios como jaggroup.com.
- Fortalecer las contraseñas y implementar autenticación en dos pasos para cuentas de correo y sistemas internos.
- Cotransferir datos sensibles a backup offline o usar criptografía avanzada si se sospecha de una brecha similar.